Gestione dei tag di criteri in varie località

Questo documento descrive come gestire i tag di criteri nelle località a livello di regione per la sicurezza a livello di colonna e il mascheramento dinamico dei dati in BigQuery.

BigQuery offre un controllo dell'accesso granulare e il mascheramento dinamico dei dati per le colonne delle tabelle sensibili tramite tag di criteri, supportando la classificazione dei dati in base ai tipi.

Dopo aver creato una tassonomia di classificazione dei dati e aver applicato i tag di criteri ai dati, puoi gestire ulteriormente i tag di criteri in più località.

Considerazioni sulla località

Le tassonomie sono risorse di regione, come i set di dati e le tabelle BigQuery. Quando crei una tassonomia, specifichi la regione, o la località, per la tassonomia.

Puoi creare una tassonomia e applicare tag di criteri alle tabelle in tutte le regioni in cui è disponibile BigQuery. Tuttavia, per applicare i tag di criteri da una tassonomia a una colonna della tabella, quest'ultima e la tabella devono trovarsi nella stessa località regionale.

Sebbene non sia possibile applicare un tag di criteri a una colonna della tabella esistente in una posizione diversa, puoi copiare la tassonomia in un'altra posizione replicandola esplicitamente da lì.

Utilizzo di tassonomie in più località

Puoi copiare (o replicare) esplicitamente una tassonomia e le relative definizioni dei tag di criteri in località aggiuntive senza dover creare manualmente una nuova tassonomia in ogni località. Quando replica le tassonomie, puoi utilizzare gli stessi tag di criteri per la sicurezza a livello di colonna in più posizioni, semplificandone la gestione.

Quando li replichi, i tag tassonomia e criterio mantengono gli stessi ID in ogni località.

I tag tassonomia e criterio possono essere sincronizzati di nuovo, per mantenerli unificati tra più località. La replica esplicita di una tassonomia viene eseguita da una chiamata all'API Data Catalog. Le sincronizzazioni future della tassonomia replicata usano lo stesso comando API, che sovrascrive la tassonomia precedente.

Per facilitare la sincronizzazione della tassonomia, puoi utilizzare Cloud Scheduler per eseguire periodicamente una sincronizzazione della tassonomia tra regioni, in base a una programmazione fissa o con la pressione manuale di un pulsante. Per utilizzare Cloud Scheduler, devi configurare un account di servizio.

Replica di una tassonomia in una nuova località

Autorizzazioni obbligatorie

Le credenziali utente o l'account di servizio che replica la tassonomia devono avere il ruolo Amministratore tag criterio di Data Catalog.

Scopri di più sulla concessione del ruolo Amministratore tag di criteri in Limitazione dell'accesso con la sicurezza a livello di colonna di BigQuery.

Per ulteriori informazioni su ruoli e autorizzazioni IAM in BigQuery, consulta Autorizzazioni e ruoli predefiniti.

Per replicare una tassonomia tra località:

API

Richiama il metodo projects.locations.taxonomies.import dell'API Data Catalog, fornendo una richiesta POST e il nome del progetto e della località di destinazione nella stringa HTTP.

POST https://datacatalog.googleapis.com/{parent}/taxonomies:import

Il parametro percorso parent è il progetto e la località di destinazione in cui vuoi copiare la tassonomia. Esempio: projects/MyProject/locations/eu

Sincronizzazione di una tassonomia replicata

Per sincronizzare una tassonomia che è già stata replicata in più località, ripeti la chiamata all'API Data Catalog come descritto in Replica di una tassonomia in una nuova località.

In alternativa, puoi utilizzare un account di servizio e Cloud Scheduler per sincronizzare la tassonomia in base a una pianificazione specificata. La configurazione di un account di servizio in Cloud Scheduler consente anche di attivare una sincronizzazione on demand (non pianificata) tramite la pagina Cloud Scheduler nella console Google Cloud o con Google Cloud CLI.

Sincronizzazione di una tassonomia replicata con Cloud Scheduler

Per sincronizzare una tassonomia replicata tra località con Cloud Scheduler, devi avere un account di servizio.

Account di servizio

Puoi concedere le autorizzazioni per la sincronizzazione della replica a un account di servizio esistente oppure puoi creare un nuovo account di servizio.

Per creare un nuovo account di servizio, consulta Creare account di servizio.

Autorizzazioni obbligatorie

L'account di servizio che sincronizza la tassonomia deve avere il ruolo Amministratore tag criterio di Data Catalog. Per maggiori informazioni, consulta Concedere il ruolo Amministratore tag criteri.
Abilita l'API Cloud Scheduler

Configurazione di una sincronizzazione della tassonomia con Cloud Scheduler

Per sincronizzare una tassonomia replicata tra località con Cloud Scheduler:

Console

Per prima cosa, crea il job di sincronizzazione e la relativa pianificazione.

Segui le istruzioni per creare un job in Cloud Scheduler.
In Frequenza, inserisci l'intervallo desiderato tra le sincronizzazioni automatiche.
Per la sezione Destinazione, consulta le istruzioni in Creazione di un job di scheduler con autenticazione.

Poi, aggiungi l'autenticazione necessaria per la sincronizzazione pianificata.

Fai clic su MOSTRA ALTRO per visualizzare i campi di autenticazione.
In Intestazione Auth, seleziona "Aggiungi token OAuth".
Aggiungi le informazioni del tuo account di servizio.
Per Ambito, inserisci "https://www.googleapis.com/auth/cloud-platform".
Fai clic su Crea per salvare la sincronizzazione pianificata.

Ora verifica che il job sia configurato correttamente.

Dopo aver creato il job, fai clic su Esegui ora per verificare che il job sia configurato correttamente. Successivamente, Cloud Scheduler attiva la richiesta HTTP in base alla pianificazione specificata.

gcloud

Sintassi:

  gcloud scheduler jobs create http "JOB_ID" --schedule="FREQUENCY" --uri="URI" --oath-service-account-email="CLIENT_SERVICE_ACCOUNT_EMAIL" --time-zone="TIME_ZONE" --message-body-from-file="MESSAGE_BODY"

Sostituisci quanto segue:

${JOB_ID} è un nome per il job. Deve essere univoco nel progetto. Tieni presente che non puoi riutilizzare il nome di un job in un progetto anche se elimini il job associato.
${FREQUENCY} è la pianificazione, chiamata anche intervallo job, della frequenza di esecuzione del job. Ad esempio, "ogni 3 ore". La stringa fornita qui può essere qualsiasi stringa compatibile con crontab. In alternativa, gli sviluppatori che hanno familiarità con la versione precedente di cron di App Engine possono utilizzare la sintassi cron di App Engine.
${URI} è l'URL completo dell'endpoint.
--oauth-service-account-email definisce il tipo di token. Tieni presente che le API di Google ospitate su *.googleapis.com prevedono un token OAuth.
${CLIENT_SERVICE_ACCOUNT_EMAIL} è l'indirizzo email dell'account di servizio client.
${MESSAGE_BODY} è il percorso del file che contiene il corpo della richiesta POST.

Sono disponibili altri parametri di opzione, descritti nella documentazione di riferimento di Google Cloud CLI.

Esempio:

  gcloud scheduler jobs create http cross_regional_copy_to_eu_scheduler --schedule="0 0 1 * *" --uri="https://datacatalog.googleapis.com/v1/projects/my-project/locations/eu/taxonomies:import" --oauth-service-account-email="policytag-manager-service-acou@my-project.iam.gserviceaccount.com" --time-zone="America/Los_Angeles" --message-body-from-file=request_body.json

Passaggi successivi

Per una panoramica della sicurezza a livello di colonna con i tag di criteri, consulta Introduzione alla sicurezza a livello di colonna di BigQuery.
Per ulteriori informazioni sulla creazione e sull'applicazione dei tag di criteri, consulta Limitazione dell'accesso con la sicurezza a livello di colonna di BigQuery.
Per scoprire l'impatto sulle scritture quando utilizzi la sicurezza a livello di colonna di BigQuery, consulta Impatto sulle scritture con la sicurezza a livello di colonna di BigQuery.
Per informazioni sulle best practice per l'utilizzo dei tag di criteri, consulta Utilizzo dei tag di criteri in BigQuery.